950 millions de téléphones Android en danger ! clament d’une seule voix Graham Clueley, le Register, Slashdot ou Ars Technica. En danger d’infection via un MMS forgé capable d’exploiter une faille dans Stargefright, la bibliothèque chargée de traiter les formats multimédia sous Android. A l’origine de cette terrorisante annonce, le laboratoire de recherche zLabs de Zimperium, vendeur de solutions de sécurité pour les flottes mobiles.
A cette annonce, l’on serait tenté de hurler ce vibrant hommage au Guide du Routard Galactique* : « PAS DE PANIIIIQUE ! ». Car il ne s’agit que d’une recherche en chambre, d’une annonce plutôt fracassante destinée à « chauffer la salle » en attendant le grand show, puisque Zimperium organise deux conférences sur le sujet, l’une durant la Black Hat, l’autre à l’occasion de la DefCon.
Mais le risque n’est pas nul, affirment les chercheurs. En admettant que l’exploit soit détenu par quelque membre agissant du côté obscur de la Force, la charge utile devra être envoyée via un MMS, pour pouvoir infecter un appareil mobile à l’insu de son propriétaire, à condition de connaître son numéro de téléphone. Les failles (CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829) visées par ce fichier multimédia infecté concernent toutes les versions d’Android, Lollipop y comprise, les plus vulnérables étant les versions antérieures à Jelly Beans. Si le code est rendu public, le risque d’infection généralisée peut devenir bien réel, puisque Google ne maintient plus les « vieux » noyaux et les constructeurs n’assurent le support de leurs appareils que durant une période très limitée, considérablement inférieure à leur durée de vie. Il y a beaucoup d’Ice Cream Sandwich et de Honeycomb dans la nature.
*NdlC Note de la correctrice : la rédaction ne possède que les premières éditions de l’ouvrage, « anté-procès » pourrait-on dire. Les propriétaires de téléphones Android trouveront leur serviette rangée sur la troisième étagère à gauche.
Depuis le temps que Robert Simons en parlait… le code source de PlagueScanner est disponible sur Github.
PlagueScanner est un concentrateur Open Source « d’antivirus local pour réseaux locaux » (par opposition aux infrastructures Cloud). Il associe d’un coup les moteurs Avast, BitDefender, Eset, Trend Micro, MS Windows Defender et Clam AV, un peu à la manière de VirusTotal détenu par Google. Ces chasseurs de malware partent du principe qu’en multipliant les moteurs, ce qui peut échapper à l’un des outils d’analyse sera remarqué par un autre… tant, bien sûr, que l’on cherche à se protéger d’une souche déjà répertoriée et dont la signature est connue.
Il n’existait jusqu’à présent aucune autre solution Open Source de logiciels de ce type qui soit à la fois local et ouvert. Les offres se limitaient soit à des solutions propriétaires et payantes telles que Metascan en hébergement local pour des infrastructures « on premise », soit des concentrateurs de scanners en ligne comme Multi-AV-Scanning Tool, soit des offres totalement en ligne ou avec un agent cloud et généralement propriétaires (mais gratuites pour la plupart) comme SecureAPlus, HitmanPro, Metascan, herdProtect, AVCaesar, Jotti’s Malware Scan, VirScan et bien sûr le plus connu de tous, Virus Total.
PlagueScanner aura-t-il quelques chances de survie ? Tout dépend essentiellement de sa souplesse d’administration et configuration et de son impact sur les performances des systèmes analysés.
Vlad Tsyrklevich vient de réaliser un véritable travail de bénédictin en se penchant sur les échanges réalisés entre Hacking Team et ses différents fournisseurs d’exploits.
Au nombre de ces fournisseurs, Vupen, entreprise Française à l’époque, avec qui les relations se sont peu à peu détériorées. Pour Vupen, les tarifs proposés par Hacking Team ne correspondaient pas franchement à la valeur réelle des exploits que les Italiens voulaient acquérir. En conséquence de quoi l’entreprise Italienne n’a pu s’offrir que des codes qualifiés de « dépassés, décevants, trop spécifiques ». Mais le principal problème qui a envenimé les relations commerciales entre Vupen et Hacking Team sont d’ordre moral. Au détour de l’un des courriers internes échangés par le personnel de Hacking Team, l’on peut lire la phrase suivante : « We already approached VUPEN several times (the customer did as well directly), but finally they refused to deliver to the CONDOR country ». Condor désigne le Kurdistan Irakien qui cherche à acquérir un outil d’espionnage informatique par tous les moyens possibles. Nos confrères de la télévision Allemande ARD ont d’ailleurs décrit par le menu les relations entre Condor, l’Allemagne et Hacking Team.
Entre richesse fonctionnelle , persistance, discrétion, prix, il est difficile de dénicher la perle rare. Le marché de l’exploit est un peu comme la criée aux truffes, une place sur laquelle non seulement il faut avoir de gros moyens pour participer, mais également posséder une réputation sans tâche et un éventail de fournisseurs assez large pour ne pas tomber en rupture de marchandise. Netragard, Vitaliy Toropov, Vulnerabilities Brokerage International, Rosario Valotta, mais également Qavar, Coseinc, Ability Ltd, DSquare Security, la Keen Team, Manish Kumar de LEO Impact Security (faux exploit), Revuln du célèbrissime Luigi Auriemma ont compté Hacking Team dans leur clientèle ou leurs prospects. Même Security Brokers de Raoul Chiesa est mentionné, mais cette autre entreprise transalpine n’aurait pas été contactée pour des raisons d’incompatibilité d’humeur, pourrait-on dire.
L’analyse de marché de Vlad Tsyrklevich s’achève par une réflexion générale traitant des conséquences d’une intégration des exploits au sein de la liste des accords de Wassenaar et sur les conséquences en termes de notoriété en cas de fuite. Hacking Team et Gamma International qui acceptent de vendre leurs produits et services à des pays dans lequel règne un régime répressif sont, il faut l’admettre, fortement contraints par les lois du marché. Seuls les Etats-Nation prospères peuvent s’offrir de l’exploit haut de gamme, à plusieurs centaines de milliers de dollars pièce, et lesdits Etats-Nation ne lâchent pas de telles sommes sans avoir quelques garanties morales vis-à-vis du vendeur. Ce qui restreint considérablement à la fois la clientèle et les acteurs commerciaux. Reste donc un marché gris dans lequel évoluent d’un côté des clients exclus de ce premier cercle de cyber-pouvoir (et par conséquent moins regardants sur la qualité de l’armement fourni) et de l’autre des fournisseurs qui ne peuvent commercialiser que les « restes » du marché de l’exploit. Le parallèle avec la vente d’armes traditionnelles ne fait aucun doute.
Remarquons également que si l’on considère comme « des produits de second choix » les outils de Hacking Team, avec toute leur dangerosité reconnue, on ne peut que s’inquiéter l’efficacité de ceux détenus par des nations plus riches, vendus par des commerçants de l’exploit encore plus compétents.